Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
30 августа 2011 года
В сети зафиксирован факт использования для организации атаки "man-in-the-middle" (MITM) обманного SSL-сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной.
Используя данный сертификат была предпринята попытка перенаправления трафика иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google). Атака могла быть использована для контроля за перепиской, перехвата параметров аутентификации или для внедрения вредоносного ПО от чужого имени.
В настоящее время удостоверяющий центр DigiNotar уже отозвал проблемный сертификат и инициировал разбирательство, каким образом было произведено его создание. До окончания расследования, так как имеется вероятность того что было сгенерировано несколько обманных SSL-сертификатов, разработчики браузеров Chrome, Firefox, SeaMonkey и Internet Explorer приняли решение временно удалить корневой сертификат DigiNotar из поставки. Изменение будет применено в ближайшем обновлении (например, в Firefox 6.0.1). Проблема усугубляется еще и тем, что имея возможность перенаправить трафик пользователей через подставной хост, атакующие могут заблокировать выполнение проверочных CRL/OCSP запросов. В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.
Организация EFF (Electronic Frontier Foundation), ранее проводившая несколько исследований состояния SSL-сертификатов в сети, считает, что опасность ситуации хуже, чем это может показаться на первый взгляд. В последние два года была зафиксирована дюжина случаев, когда мошенникам удавалось получить у центров сертификации сертификаты для чужих сайтов. В настоящее время насчитывается уже около 1500 центров сертификации, контролируемых примерно 650 разными организациями. Так как при каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, компрометация одного из них приведет к возможности сгенерировать валидный сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат.
По мнению EFF громкие уличения центров сертификации - это лишь вершина айсберга. Даже для такого известного домена как google.com обманный сертификат был выявлен только спустя почти два месяца с момента его выдачи (сертификат выдан 10 июля 2011 года). Вполне вероятно, обманные сертификаты для менее известных ресурсов могут годы существовать незамеченными. EFF также отмечает, что отозванный DigiNotar сертификат является первым, который был выявлен не в процессе внутреннего аудита, а был зафиксирован в "диком виде", т.е. в процессе использования злоумышленниками.
Дополнение: Появилась (Архивная копия от 31 августа 2011 на Wayback Machine) информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты для ряда доменов, включая google.com. Расследование инцидента еще не завершено и результаты внешнего аудита последствий взлома пока не приданы огласке. Компания DigiNotar заявила, что все сгенерированные в результате инцидента сертификаты были сразу отозваны из обращения, но случай с сертификатом Google указывает на то, что как минимум один обманный сертификат не был отозван.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.